Prüfaufgaben des Datenschutzbeauftragten - Bitkom
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Prüfaufgaben des Datenschutzbeauftragten
Agenda
1. Rechtliche Anforderungen
• Aufgaben des Datenschutzbeauftragten
• Rechenschaftspflichten aus der Datenschutzgrundverordnung (DSGVO 2018)
• Kontrollpflichten aus der DSGVO
• Datenschutzmanagementsystem
• Zertifizierung im BDSG und in der DSGVO
2. Datenschutz-Organisation
3. Datenschutzprüfungen
• Prüfungsplanung
• Prüfungsdurchführung
• Dokumentation
• Zusammenarbeit einzelner Bereiche
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 2
über mich Seit ca. 20 Jahren im Datenschutz tätig Ausgebildet beim Landesamt für Datenschutz und Statistik in München Konzerndatenschutzbeauftragter bei kbo Externen Datenschutzbeauftragter in sozialen Einrichtungen „Grundausbildung“ Betriebswirtschaft und Interne Revision Stellv. Vorstandsvorsitzender beim Berufsverband der Datenschutzbeauftragten in Deutschland BvD e.V. kbo Datenschutzprüfungen bei kbo | Juni 2020 | 3
über kbo
• Verbund von Kliniken und ambulanten Einrichtungen für Psychiatrie, Psychotherapie und Psychosomatik für Kinder,
Jugendliche und Erwachsene, Neurologie und Sozialpädiatrie
• 7.200 Mitarbeiter – etwa 110.000 Patienten jährlich
• stationäre, teilstationäre und ambulante Leistungen - wohnortnah in ganz Oberbayern an über 30 Standorten
kbo Datenschutzprüfungen bei kbo | Juni 2020
4 |4
Rechtliche Anforderungen
Aufgaben des Datenschutzbeauftragten
• Art. 39 DSGVO:
• Abs. 1 lit. b): Überwachung der Einhaltung dieser Verordnung
• Abs. 1 lit. c): Beratungs- und Überwachungsfunktion bei Datenschutzfolgeabschätzungen (Art. 35 DSGVO)
• Abs. 1 lit. d+e): Zusammenarbeit mit Aufsichtsbehörden
• Abs. 2: Durchführung einer eigenen Risikoeinschätzung zur Berücksichtigung des
mit den Verarbeitungsvorgängen verbundenen Risikos bei der Erfüllung seiner Aufgaben
• Art. 38 DSGVO:
• Abs. 6: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten
wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige
Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 5
Rechtliche Anforderungen
Rechenschaftspflichten aus der DSGVO
• Art. 5 Abs. 2 DSGVO: Der für die Verarbeitung Verantwortliche muss die Einhaltung der Datenschutz-Grundsätze
nachweisen können
• Rechtmäßigkeit
• Verarbeitung nach Treu und Glauben
• Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität & Vertraulichkeit
• Zur Erfüllung der Rechenschaftspflicht:
Dokumentation des DSB über wesentliche Tätigkeiten seiner Person, bzw. seiner Mitarbeiter in einem zentralen
Dokumentationstool (IDW PH 9.860.1)
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 6Rechtliche Anforderungen
Kontrollpflichten aus der DSGVO
• Art. 24 Abs. 1 DSGVO: Der Verantwortliche setzt unter Berücksichtigung
• der Art und des Umfangs,
• der Umstände,
• der Zwecke der Verarbeitung,
• sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und
Freiheiten
geeignete technische und organisatorische Maßnahmen um und überprüft diese
• Art. 32 Abs. 1 DSGVO:
Kein Höchstmaß an technischen und organisatorischen Maßnahmen, sondern, nach dem Stand der Technik, dem
Risiko für die Rechte und Freiheiten der betroffenen Personen angemessene Maßnahmen
• Abs.1 d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 7Rechtliche Anforderungen
Datenschutzmanagementsystem
Zur Erfüllung der gesetzlichen Anforderungen ist die Implementierung eines Datenschutzmanagement-Systems
unerlässlich
Planung
Festlegung und
Fortschreiben aller
Prozesse
Weiterentwicklung Durchführung
Instandhaltung und DSMS Umsetzung der
Maßnahmen und
Verbesserung der
Prozesse Prozessschritte
Kontrolle
Überprüfung und
Beurteilung
prozessrelevanter
Vorgaben
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 8Rechtliche Anforderungen
Zertifizierung im BDSG und in der DSGVO
Bereits im BDSG Forderung nach einer Zertifizierung:
• §9a BDSG :
Zur Verbesserung des Datenschutzes & der Datensicherheit kann das Datenschutzkonzept und die technischen
Einrichtungen durch unabhängige und zugelassene Gutachter überprüft und bewertet werden
• Art. 42 DSGVO:
Schafft die Möglichkeit, mit der Einhaltung eines zertifizierten Genehmigungsverfahrens die Erfüllung der Anforderungen
der DSGVO nachzuweisen
• Bislang kein anerkanntes Zertifizierungsverfahren
• ISO 27001 / 27701 wichtiger Schritt zu pragmatischen und zertifizierbaren Datenschutz
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 9Datenschutz-Organisation
Vorstand
Geschäftsführung
Konzerndatenschutzbeauftragter Konzerndatenschutz-Team
• Beratung
• Überwachung
Technischer Organisatorischer
Datenschutz Datenschutz
Ansprechpartner für
IT
Datenschutz
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 10Datenschutz-Organisation
Technischer Datenschutz Organisatorischer Datenschutz
Aufgaben: Aufgaben:
• Datenschutzfolgeabschätzung • Betroffenenrechte
• Verzeichnis von Verarbeitungstätigkeiten • Auftragsverarbeitungsverträge
• Rechte- und Rollen-Konzept • Dokumentensteuerung
• … • …
Datenschutzmanager
IT-Sicherheitsbeauftragter
Compliancebeauftragter
x4
Konzerndatenschutzbeauftragter
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 11Datenschutz-Prüfungen
Audit-Universe
Prüfungsplanung
DOKUMENTATION
Risikobewertung
Datenschutzprüfungen
Prüfungsarten/-handlungen
Prüfungsdurchführung Bewertungssystematik
Berichtswesen
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 12Datenschutz-Prüfungen – Prüfungsplanung
BEM-Prozess
Schulen bei kbo
Außerklinische Betriebsarzt
Dokumentationssysteme
Datenaufbewahrung
AV-Verträge
Clean-Desk
Audit-Universe
Datenerfassung
IT-Themen
Datenschutzverletzungen
Datenschutz-Schulungen
Datenweitergabe extern
Datenmüll
Betroffenenrechte
Datenweitergabe intern
…
Videoüberwachung
Hygiene
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 13Datenschutz-Prüfungen – Prüfungsplanung Risikobewertung z.B. anhand folgender Kriterien: • Zeitpunkt letzter Prüfung • Brutto-Risiko laut Datenschutzfolgenabschätzung • Höchste betroffene Datenschutzklasse • Ergebnis letzter Prüfung • Anzahl von Datenschutzmeldungen in den letzten 12 Monaten in diesem Prozess • Schnittstellen im Prozess kbo Datenschutzprüfungen bei kbo | Juni 2020 | 14
Datenschutz-Prüfungen – Prüfungsplanung
Zeitpunkt der letzten (1) weniger als 2 Jahre her (3) länger als 5 Jahre her
Prüfung (2) länger als 2 Jahre her (4) länger als 10 Jahre her
(1) keine DSFA/ gering (3) hoch
Brutto-Risiko laut DSFA
(2) mittel (4) sehr hoch
Höchste betroffene (1) max. Klasse 4 oder 5 (3) Datenschutzklasse 2
Datenschutzklasse (2) Datenschutzklasse 3 (4) Datenschutzklasse 1
Ergebnis der letzten (1) keine Prio1-Feststellung (3) 2< Prio1-Feststellungen
Prüfung (2) 1-2 Prio1-Feststellungen
Anzahl Datenschutz- (1) 0-2 (3) ab 5
meldungen im Prozess (2) 2-4/ keine
Anzahl Schnittstellen im (1) keine (3) ab 3
Prozess (2) bis 2
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 15Datenschutz-Prüfungen – Prüfungsplanung
Risikoorientierte Prüfungsplanung
z.B. aufgrund vorangegangener Risikobewertung
• Die einzelnen Werte werden für jedes Prüffeld je nach Auswahl miteinander multipliziert, so dass sich ein Wert zwischen 1
und 1728 ergibt.
• Der erreichte Wert entscheidet darüber, welche Prüffelder in der Prüfungsplanung priorisiert werden.
• Es werden für jedes Jahr drei Prüfungen aus den Prüffeldern ausgewählt.
(z.B. zwei Prüfungen mit Wert 96≤, eine Prüfung mit WertDatenschutz-Prüfungen – Prüfungsdurchführung
Prüfungsdurchführung
Kick – Off
Prüfungsarten Prüfungshandlungen
• Prozessprüfung • Bestätigen von Sachverhalten durch externe Parteien
• Einzelfallprüfung • Analyse von Dokumenten
• Begehung* • Stichprobenprüfungen
• Follow-Up-Prüfung (Maßnahmennachverfolgung) • analytische Prüfungshandlungen (Auswertungen)
• Sonderprüfungen (v.a. bei Datenschutzverstößen) • exemplarischer Prozessdurchlauf
• direkte Beobachtung
• Interviews
Abschlussbesprechung
* Prüfungen, bei denen bestimmte Standardprüffelder in regelmäßigen Abständen vor Ort und stichprobenhaft kontrolliert werden.
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 17Datenschutz-Prüfungen – Prüfungsdurchführung
Bewertungssystematik von Prüfungsfeststellungen
z.B. Festlegung von Prioritäten
Priorität 1 Es wird eine gesetzliche Vorschrift nicht eingehalten bzw. es besteht aktuell ein sehr hohes Risiko. Es sind
umgehend Maßnahmen einzuleiten, um den Verstoß abzustellen.
Priorität 2 Es wird eine interne Vorgabe nicht eingehalten. Die derzeitige Geschäftsabwicklung kann zu einem hohen
Unternehmensrisiko führen.
Priorität 3 Es wird eine interne Vorgabe nicht eingehalten. Mit der Nichteinhaltung ist ein niedriges Unternehmensrisiko
verbunden.
Priorität 4 Es sind Verbesserungen in der Unternehmensabwicklung möglich, diese sind bei einer Neugestaltung bzw.
Änderung von Prozessen zu berücksichtigen.
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 18Datenschutz-Prüfungen – Prüfungsdurchführung
Berichtswesen
• Prüfungsbericht
vom Vorstand zu unterschreiben
Maßnahmen sind umzusetzen
• Begehungsprotokoll
keine Unterschrift des Vorstands
oder Geschäftsführers
• Stellungnahmen
(v.a. bei Sonderprüfungen)
• Jahresbericht
Tätigkeiten des Jahres
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 19Dokumentation Dokumentation von Datenschutzprüfungen • Prüfungsplanung anhand von Audit-Universe und Risikobewertungssystem • Prüfungsfeststellungen inkl. Nachverfolgungsprozess • Ablage von relevanten Dokumenten zur Prüfung (Berichte, Nachweise, Richtlinien, etc.) Ggf. Verwendung von Dokumentationstools, auch zur Sicherstellung der Rechenschaftspflichten kbo Datenschutzprüfungen bei kbo | Juni 2020 | 20
Zusammenarbeit einzelner Bereiche
Datenschutz
Interne Revision Compliance
Qualitäts-
IT-Sicherheit
management
z.B. gemeinsame Audits, Co-Sourcing
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 21Fragen/Anmerkungen kbo Datenschutzprüfungen bei kbo | Juni 2020 | 22
Vielen Dank für Ihre
Aufmerksamkeit!
Für Fragen stehe ich Ihnen gerne zur Verfügung:
Nikolaus Schrenk
Kliniken des Bezirks Oberbayern – Kommunalunternehmen
Prinzregentenstraße 18
80538 München
E-Mail: nikolaus.schrenk@kbo.de
Telefon: 089 5505227-16
kbo Datenschutzprüfungen bei kbo | Juni 2020 | 23Sie können auch lesen
